Oracle behebt im Juli 2016 die Rekordzahl von 276 Sicherheitslücken

Von:

20. Juli 2016

Gestern hat Oracle sein„Oracle Critical Patch Update“ (CPU) für Juli 2016 veröffentlicht. Dieser Beitrag sollOracle-Kunden eine detaillierte Analyse der neuesten Sicherheitslücken bieten, die geschäftskritische Oracle-Anwendungen betreffen.

Es handelt sich hierbei jedoch nicht um ein gewöhnliches CPU, da in diesem Quartal die größte Anzahl an Patches (276) von Oracle veröffentlicht wurde – doppelt so viele wiebeim letzten CPU im April 2016. Das CPU dieses Quartals umfasst zudem15 behobene Sicherheitslücken, die von Onapsis Research Labs gemeldet wurden. Dieser Beitrag beschreibt diese Sicherheitslücken im Detail und stellt zudem mehrere Sicherheitslücken mit hoher Auswirkung vor, wobei eine Zusammenfassung der potenziellen Geschäftsrisiken für geschäftskritische Anwendungen gegeben wird. Zunächst geben wir eine allgemeine Analyse des Critical Patch Updates, anschließend konzentrieren wir uns speziell auf die Sicherheitslücken in der Oracle E-Business Suite.

Juli CPU: Mehrere Sicherheitslücken mit hohem Risiko

Im letzten CPU-Bericht hat Oracle 276 Sicherheitsprobleme behoben, die 49 verschiedene Oracle-Produkte betrafen. Das sind 28 mehr als der bisherige Rekord, der im Januar 2016 aufgestellt wurde. Nachstehend haben wir eine neue Grafik erstellt, die verdeutlicht, wie hoch das Risiko der einzelnen veröffentlichten Sicherheitslücken für geschäftskritische Oracle-Anwendungen ist. Die Grafik wurde anhand der folgenden Kriterien erstellt:

  • Die Balken stellen den CVSS-Durchschnittswert (Common Vulnerability Scoring System) für jede Oracle-Produktgruppe dar.
  • Die Zahl innerhalb des Balkens gibt die Anzahl der Sicherheitslücken für die Oracle-Produktgruppe an.
  • Der Wert gibt den maximalen CVSS-Wert für diese Oracle-Produktgruppe an.
  • Die Farbe der Balken und Punkte steht für das CVSS-Risiko: Grün steht für „niedrig“, Gelb für „mittel“, Orange für „hoch“ und Rot für „kritisch“.
july_cpu.png

Wie Sie sehen können, gibt es keine Plattformen mit geringem Risiko (unter 4 im CVSS-Durchschnitt), und fünf von ihnen weisen einen Risikowert von über 8 auf. Zudem weisen fünf Plattformen mit einem CVSS-Wert von 9,8 die höchste Schwachstelle auf.

Ein weiterer wichtiger Aspekt ist die Frage, welche der Schwachstellen aus der Ferne ausgenutzt werden können. Bei geschäftskritischen Anwendungen sind fast 60 % der Schwachstellen aus der Ferne ausnutzbar. Das bedeutet, dass ein Angreifer potenziell von einem anderen Computer im Netzwerk aus Zugriff erlangen könnte.

Berichte des Onapsis Research Lab

Wie bereits erwähnt, wurden von unseren Onapsis Research Labs fünfzehn Sicherheitslücken in dieser CPU gemeldet. Elf davon betreffen Cross-Site-Scripting (XSS), die übrigen vier sind auf Open-Redirect-Schwachstellen zurückzuführen. Im weiteren Verlauf dieses Beitrags werden wir erläutern, wie Cross-Site-Scripting-Schwachstellen funktionieren und wie man diese Art von Sicherheitslücken abwehrt.

Alle von Onapsis gemeldeten Sicherheitslücken betreffen die Oracle E-Business Suite. Da einige davon dieselben Komponenten betreffen, wurden sie in sechs CVEs zusammengefasst. Vier davon weisen einen Basiswert von 8,2 auf, die übrigen einen von 4,7:

  • CVE-2016-3532: Diese CVE umfasst sieben Sicherheitslücken, die mit XSS-Angriffen in Zusammenhang stehen. Sie wurden unter einer einzigen CVE zusammengefasst, da sie dieselbe Komponente betreffen, jedoch unterschiedliche Parameter aufweisen, die nicht bereinigt werden. Bei der betroffenen Komponente handelt es sich um „Oracle Advanced Inbound Telephony“, die Unterkomponente ist die „SDK-Client-Integration“.
  • CVE-2016-3535: Diese Sicherheitslücke betrifft ebenfalls XSS-Angriffe. Die betroffene Komponente ist „Oracle CRM Technical Foundation“, die betroffene Unterkomponente ist „Remote Launch“.
  • CVE-2016-3491: Diese Sicherheitslücke betrifft ebenfalls XSS-Angriffe. Die betroffene Komponente ist „Oracle CRM Technical Foundation“, die betroffene Unterkomponente ist „Wireless Framework“.
  • CVE-2016-3536: Diese CVE umfasst zwei weitere Sicherheitslücken im Zusammenhang mit Cross-Site-Scripting, die in einer einzigen CVE zusammengefasst wurden, da sie dieselbe Komponente betreffen: Oracle Marketing.
  • CVE-2016-3534: Diese Sicherheitslücke betrifft Open-Redirect-Angriffe. Die betroffene Komponente ist „Oracle Installed Base“, die Unterkomponente ist „Engineering Change Order“.
  • CVE-2016-3533: Diese CVE umfasst drei Sicherheitslücken, die ebenfalls mit Open-Redirect-Angriffen im Zusammenhang mit der Komponente „Oracle Knowledge Management“ und der Unterkomponente „Search“ stehen.

So funktioniert Cross-Site-Scripting

Wie bereits erwähnt, betreffen die meisten von Onapsis gemeldeten Sicherheitslücken die Oracle E-Business Suite und stehen im Zusammenhang mit einer bekannten Angriffsmethode: Cross-Site-Scripting (XSS). Dabei handelt es sich um eine Web-Sicherheitslücke, die aufgrund zweier Voraussetzungen entsteht:

  • Es wurde ein Parameter empfangen, der weder validiert noch bereinigt wurde.
  • Dieser empfangene Parameter wird verwendet, um innerhalb des Programms eine bestimmte Aktion auszuführen.

Der folgende String nimmt den Parameter „Country“ entgegen und speichert ihn in der Variablen „CountryStr“:

july_cpu_2.jpg

Wenn „CountryStr“ im JavaScript-Code verwendet wird, könnte ein Angreifer dies nutzen, um dem Opfer einen Link mit Schadcode zu senden. Zum Beispiel, um an die Sitzungs-Cookies zu gelangen, E-Mails zu versenden, eine Meldung anzuzeigen usw.

july_cpu_3.jpg

Der Angreifer könnte dem Opfer den folgenden Link senden; klickt der Nutzer auf diesen Link, werden ihm seine Cookies angezeigt:

july_cpu_4.jpg

In einer realen Situation (nicht nur im Rahmen eines Proof-of-Concept) könnte ein Angreifer den Link so ändern, dass diese Cookies per E-Mail versendet werden, und sich anschließend mit dieser Sitzung als der betroffene Benutzer anmelden. Um diese Art von Angriffen abzuwehren, sollten Unternehmen die bereitgestellten Oracle-Korrekturen implementieren oder Kontrollmechanismen einführen, die erkennen, wenn ein Benutzer eine URL mit XSS-Mustern verwendet.Weitere Informationen finden Sieim OWASP-Spickzettel zur XSS-Prävention (Cross-Site-Scripting).

Wie Sie sehen, verdeutlicht diese große Anzahl behobener Sicherheitslücken, wie wichtig es ist, Ihre Produkte auf dem neuesten Stand zu halten. Die Bedrohungslage bei Oracle-Lösungen nimmt weiter zu, und dies ist bereits das zweite Mal in diesem Jahr, dass ein CPU einen neuen Rekordumfang erreicht hat. Seien Sie gespannt auf unseren nächsten Oracle-CPU-Blogbeitrag: 18. Oktober.

Stichworte, , , ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen